Menu principal
Lancé le 7 janvier dernier aux Etats-Unis, il s’agit d’un espace consacré aux questions de santé et de bien-être. Dès qu’un utilisateur posera des questions relatives à la santé au sein du modèle général, il lui sera proposé de rejoindre un espace dédié. La firme met en avant des garanties supplémentaires de confidentialité, de sécurité et d’isolation par rapport à l’IA généraliste. Les données chargées dans ChatGPT Santé bénéficieront ainsi d’un chiffrement dédié, et les conversations et données ainsi collectées ne pourront être utilisées pour l’entraînement des modèles conversationnels généraux.
ChatGPT Santé annonce répondre à une demande déjà bien installée. Près de 230 millions de requêtes en lien avec la santé sont adressées chaque semaine à ChatGPT. Et ChatGPT Santé n’est que l’un des concurrents sur la ligne de départ. Il faudra aussi compter avec Claude for Healthcare (Anthropic), qui s’adresse aux patients et au corps médical, mais aussi avec le Français Doctolib. Au-delà des requêtes adressées à l’intelligence artificielle, cela fait déjà quelques années que patients et particuliers vont chercher des informations médicales en dehors de leur praticien, comme en témoignait le succès de plateformes bien-être de type Doctissimo ou Auféminin.
Mais pour ces IA spécialisées en santé, l’idée n’est pas seulement de poser des questions, de partager des symptômes, mais bien d’obtenir des recommandations personnalisées. Il sera ainsi possible d’y charger des dossiers médicaux, actes, ordonnances, résultats d’analyses, etc. Ou encore d’agréger des données issues d’applications connectées et d’attendre de l’IA conversationnelle des réponses, personnalisées et documentées. Un risque évident de préconisations et de diagnostics inappropriés se pose. Même si OpenAi le spécifie, à titre de garde-fous, ChatGPT Santé est conçu pour « soutenir les soins médicaux » et n’a pas vocation « à établir un diagnostic ou proposer un traitement ».
La protection des données de santé, un enjeu européen
Au-delà du diagnostic possiblement inapproprié, la question de la sécurisation des données se pose. Car en l’espèce, elle va concerner des données de santé, données sensibles par excellence, dont le traitement est interdit à l’article 9 du règlement européen sur la protection des données, «Traitement portant sur des catégories particulières de données à caractère personnel ».
Pour que ChatGPT Santé soit disponible au sein de l’Union européenne, OpenAI ne pourra s’absoudre du respect de certaines réglementations, dont le RGPD et l’IA Act. C’est a priori le fondement du champ d’application territorial qui devrait s’appliquer. Comme l’analysent Jean-Philippe Souyris, directeur du pôle Data et Laura Tomasso collaboratrice du cabinet Haas avocats, cabinet spécialisé en conseil et contentieux de la data, ChatGPT Health pourrait néanmoins se conformer à a réglementation, ce qui nécessite une analyse éclairée de celle-ci. Pour commencer, sur ce qui relève ou non d’une donnée sensible. « Toute donnée de santé rentre dans le champ des données sensibles », indiquent les praticiens. « Mais selon les précisions de la CNIL, une donnée bien-être pourrait ne pas être considérée comme une donnée santé. Même si la frontière est parfois poreuse entre les deux. Ainsi le poids et la taille sont des données bien-être, mais ils peuvent dans certains cas, comme celui d’une obésité être considérés comme des données de santé ».
Sur cette base, il y a deux conditions de licéité du traitement de données de santé. La base légale, au sens de l’article 6 du RGPD peut être obtenue par consentement à l’utilisation des données pour une finalité spécifique. Par ailleurs l’interdiction du traitement des données de santé peut être licite grâce à l’obtention « du consentement explicite du patient ».
Dans le cas d’un ChatGPT Santé, l’utilisateur choisit librement de charger ou de connecter ses informations et la plateforme n’aurait qu’à y ajouter les opt-ins adéquats.
Les IA santé connectées, des IA à hauts risques ?
L’autre point de vigilance concerne la qualification de de l’IA santé en IA à haut risque. « L’usage diffère d’une simple recherche d’information médicale puisque l’on va personnaliser la donnée. Lorsque l’IA va traiter l’information à des fins médicales, par exemple en produisant des informations nouvelles, on va considérer que l’IA est un dispositif médical, donc une IA à hauts risques », analysent encore les praticiens. Si ChatGPT Santé était classé comme une IA à haut risque, des obligations spécifiques s’appliqueraient, comme le prévoit l’IA Act. Ainsi les éditeurs devraient fournir pour ChatGPT Santé de la documentation technique avant sa mise sur le marché, une notice d’utilisation mais aussi un système de gestion des risques, comme le relève le cabinet Haas avocats dans sa note. Enfin se pose la traditionnelle question du stockage et de l’hébergement des données traitées. Pour les éditeurs américains, les données pourront être stockées aux Etats-Unis. « Il n’y a pas d’interdiction de principe au stockage des données en dehors de l’Union européenne », relèvent Jean-Philippe Souyris et Laura Tomasso. « Aujourd’hui c’est le Data privacy framework qui a cours, un mécanisme d’auto-certification, où une entreprise s’engage à respecter un certain nombre de principes en cas de transfert de données personnelles. Mais ces entreprises ne sont pour l’heure pas certifiées. Il leur faudra présenter des garanties complémentaires, comme le respect de clauses contractuelles types. »
Compte tenu des précédents, il est fort probable que ChatGPT Santé se lance sur le marché européen sans se conformer complètement au cadre, quitte à rectifier le tir après. Charge alors à l’utilisateur de connecter ses traceurs de données en connaissance de cause.